• Das Magazin für Manager von nachhaltigen Kundenbeziehungen: CRM & CX im digitalen Zeitalter

Editor's Pick

Customer Experience-Technologien (CX) ...

cmm360 - 23. September 2021

Oracle kündigt Fusion Marketing an: Die ...

cmm360 - 20. September 2021

Mit dem KI-basierten Chatbot bietet die ...

Meike Tarabori: Chefredaktion - 10. September 2021

Technologie, Datenschutz, IT-Recht / Rechtsberatung, e-ID

BGEID: Was ist am Bundesgesetz über Elektronische Identifizierungsdienste umstritten und wie sähe die Alternative aus?

Rechtsanwalt Dr. iur., LL.M. Christian Laux: Datenschutz & IT-Recht - 15. Februar 2021

Der IdP verteilt Logins an Personen, die ein solches Login wollen und beim IdP beantragen (Nutzerinnen der E-ID). Wer ein solches Login hat, hat die E-ID erworben. Aus Sicht des Identitätsdienstleisters gilt Folgendes: Er hat dem Nutzer, der Nutzerin eine E-ID ausgestellt. Nur dieser Ausstellungsvorgang wird mit dem Referendum angefochten. Das Referendumskomitee will, dass der Staat Logins verteilen soll, und nicht ein privater IdP.

Wie sähe die Alternative aus?

Dass der Staat eine private Dienstleisterin (einen Outsourcer) einsetzen würde, wenn er selber die Logins ausgäbe, wäre die naheliegende Folge der vom Referendumskomitee verfolgten Vision (und wird auch vom Referendumskomitee nicht in Abrede gestellt). Der Outsourcer würde für den Staat handeln und die technische Infrastruktur für den Bund bereitstellen. Grafisch lässt sich der Unterschied wie folgt darstellen:

BGEID_Der Vergleich zeigt, wie wenig die vom Referendumskomitee propagierte Alternative die Situation ändern würde_eID_cmm360-1          BGEID_Der Vergleich zeigt, wie wenig die vom Referendumskomitee propagierte Alternative die Situation ändern würde_eID_cmm360-2
Abb. 2: Ausstellung durch den IdP         Abb. 3: Ausstellung durch den Bund

Der Vergleich dieser Abbildungen zeigt, wie wenig die vom Referendumskomitee propagierte Alternative die Situation ändern würde:

  • anstelle des IdP erhielte ein Outsourcer Zugriff auf die Identifikationsdaten
  • auch dem Outsourcer wäre die Datennutzung verboten (allerdings nur noch aus Vertrag und nicht mehr kraft des Gesetzes)

Die Wunschvorstellung des Referendumskomitees hätte handfeste Nachteile:

  • es gäbe nur noch einen Anbieter (Bund mit Outsourcer) und nicht mehrere, im Wettbewerb stehende Lösungen. Der Wettstreit der Ideen käme so nicht zum Tragen
  • der Bund erhielte auch auf die Nutzungsdaten Zugriff (was gemäss BGEID so nicht stattfindet); dies würde den vom Referendumskomitee selber betonten Zielen (Datenvermeidung) widersprechen

Worum geht es beim Vorwurf "zentralisierte Datenhaltung"?

Weiter ist zu hören, dass die zentrale Speicherung von Daten ein Datenschutzproblem darstelle. Es sei eine dezentrale Datenspeicherung vorzuziehen. Dies ist aus Datenschutzsicht ein grundsätzlich richtiger Gedanke (Risikominimierung). Es handelt sich allerdings um eine Frage der Softwarearchitektur. Und hierzu macht das BGEID bewusst keine Vorgaben. Gleich in Art. 1 Abs. 3 BGEID legt es den Grundsatz der Technologieneutralität fest. Das BGEID würde somit IdP-Lösungen mit dezentraler Datenstruktur zulassen. Wer die zentrale Datenhaltung kritisiert, sollte nicht das BGEID bekämpfen. Das BGEID ist vielmehr eine Einladung an Anbieter mit einem dezentralen Lösungsdesign, sich als IdP anerkennen zu lassen. Zudem: Wenn das fedpol selber die eigene Datenbank bei einem Outsourcer hosten lässt, wäre mit dem Referendum nichts gewonnen. Und dass eine redundante Datenhaltung mit dem Referendum vermieden werden kann, ist alles andere als gesichert.

Gibt es das beschworene Missbrauchspotential in der E-ID?

Das Referendumskomitee bringt vor, es bestehe bei der privatwirtschaftlichen Lösung ein Missbrauchspotential. Und zwar gehe es um Missbrauch durch den IdP. Dies liege an der zentralen Speicherung von Daten beim IdP. Diese Kritik lässt sich nicht ernsthaft aufrecht erhalten. Wie gesehen, ist die zentrale Speicherung vom BGEID nicht vorgeschrieben. Solange genügend Sicherheitsmassnahmen bestehen, kann ein Anbieter mit einer solchen Lösung noch immer als IdP anerkannt werden (Art. 13 Abs. 2 lit. g BGEID). Zudem: Da das BGEID Datenzugriffs- und Datenverwendungsverbote enthält, die weit schärfer sind als was das DSG fordert, ist der Missbrauchsvorwurf nicht naheliegend. Namentlich die vom Referendumskomitee heraufbeschworene Gefahr der Kommerzialisierung von Daten durch einen IdP ist im BGEID explizit ausgeschlossen.

Newsletter

Abonnment

Kopie von Jahresabo für Pioniere & Leader mit Kundenfokus

Die Neuste Ausgabe ist jetzt erhältlich.

Abo sichern

Marktplatz

marketplace

Wollen Sie ihr Firmenprofil auch im Marktplatz? Kontaktieren Sie uns!

Anfragen

Event

Meike

Wollen Sie ihren bevorstehenden Event auch promoten? Kontaktieren Sie uns!

Anfragen

Mehr zum Thema

Cyber-Security-Anbieter ...

cmm360 - 15. Februar 2021

Genesys führt BeyondCX ...

cmm360 - 15. Februar 2021

Oracle kündigt Fusion ...

cmm360 - 15. Februar 2021